Modulo3 VF

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 35

El Esquema Nacional de Seguridad e Interoperabilidad tienen como objetivo crear

condiciones objetivas de interoperabilidad y de seguridad que faciliten el ejercicio de


derechos y el cumplimiento de deberes a través de los medios electrónicos. Los
Esquemas Nacionales son instrumentos para ayudar a la prestación de servicios públicos
por medios electrónicos, especialmente, si estos servicios requieren la cooperación y el
intercambio de datos entre Administraciones.

Regulación jurídica:
● RD 3/2010, Esquema Nacional de Seguridad en el ámbito de la Administración
Electrónica.
● RD 4/2010 por el que se regula el Esquema Nacional de Interoperabilidad en el
ámbito de la Administración Electrónica

Ambas normas son de obligado cumplimiento por las AAPP, y con la finalidad
de crear condiciones objetivas de interoperabilidad y de seguridad que faciliten el
ejercicio de derechos y el cumplimiento de deberes a través de los medios electrónicos

ESQUEMA NACIONAL DE SEGURIDAD (ENS)

A. Introducción

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de


Seguridad en el ámbito de la Administración Electrónica, da cumplimiento a lo previsto
en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los
ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en
la utilización de medios electrónicos y está constituido por principios básicos y
requisitos mínimos que permitan una protección adecuada de la información.

El 4 de noviembre de 2015 se publicó el Real Decreto 951/2015, de 23 de octubre,


de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema
Nacional de Seguridad en el ámbito de la Administración Electrónica.

La Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público establece


que las Administraciones Públicas se relacionarán entre sí y con sus órganos, organismos
públicos y entidades vinculados o dependientes a través de medios electrónicos, que
aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por
cada una de ellas, garantizarán la protección de los datos de carácter personal, y
facilitarán preferentemente la prestación conjunta de servicios a los interesados y
recoge el Esquema Nacional de Seguridad en su artículo 156. Mientras que la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, recoge en su artículo 13 sobre derechos de las personas en
sus relaciones con las Administraciones Públicas el relativo a la protección de datos de
carácter personal, y en particular a la seguridad y confidencialidad de los datos que
figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.
El ENS establece los aspectos y metodologías comunes relativos a la seguridad en la
2
implantación y utilización de los medios electrónicos por las Administraciones Públicas,
al objeto de crear las condiciones necesarias para la confianza en el uso de los citados
medios electrónicos que permita el ejercicio de derechos y el cumplimiento de deberes
a través de estos medios.
Por tanto, la finalidad del Esquema Nacional de Seguridad es la creación de las
condiciones necesarias de confianza en el uso de los medios electrónicos, a través de
medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y
los servicios electrónicos, que permita a los ciudadanos y a las Administraciones
públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

Principios básicos (Art. 4 ENS): Fundamentos que deben regir toda acción orientada
a asegurar la información y los servicios.
 La seguridad como un proceso integral.
 Gestión de la seguridad basada en los riesgos.
 Prevención, reacción y recuperación.
 Líneas de defensa.
 Reevaluación periódica.
 La seguridad como función diferenciada.

Requisitos mínimos (Art. 11 ENS): Exigencias necesarias para asegurar la


información y los servicios.
 Organización e implantación del proceso de seguridad.
 Análisis y gestión de los riesgos.
 Gestión de personal.
 Profesionalidad.
 Autorización y control de los accesos.
 Protección de las instalaciones.

Javier Peña Alonso @japealonso Fundación Fiasep


 Adquisición de productos.
3
 Seguridad por defecto.
 Integridad y actualización del sistema.
 Protección de la información almacenada y en tránsito.
 Prevención ante otros sistemas de información interconectados.
 Registro de actividad.
 Incidentes de seguridad.
 Continuidad de la actividad.
 Mejora continua del proceso de seguridad.

B. Normas Técnicas Esquema Nacional de Seguridad.

El artículo 29 del ENS halita al CCN-STIC (Centro Criptológico Nacional-Seguridad de


las Tecnologías de Información y Comunicaciones), a elaborar normas, instrucciones,
guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para
garantizar la seguridad de los sistemas de tecnologías de la información en la
Administración.

https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-
nacional-de-seguridad.html

Estas guías no son normas imperativas, sino la expresión de metodologías y


recomendaciones para el adecuado cumplimiento de lo dispuesto en el ENS.
Recomendaciones que tendrán especial significación para aquel organismo
administrativo afectado por un incidente grave de seguridad, motivado por la
inobservancia de las recomendaciones descritas.

C. Ámbito subjetivo

El Esquema Nacional de Seguridad (ENS), es de obligado cumplimiento para:

 A las Administraciones Públicas, entendiendo por tales la Administración General


del Estado, las Administraciones de las Comunidades Autónomas y las Entidades
que integran la Administración Local, así como las entidades de derecho público
vinculadas o dependientes de las mismas.
 A los ciudadanos en sus relaciones con las Administraciones Públicas.
 A las relaciones entre las distintas Administraciones Públicas.

Están excluidos del ámbito de aplicación los sistemas que tratan información
clasificada regulada por Ley 9/1968, de 5 de abril, de Secretos Oficiales y normas de
desarrollo.

D. Ámbito objetivo

Javier Peña Alonso @japealonso Fundación Fiasep


El ámbito objetivo está formado por los elementos que entrarán en el alcance del
4
ENS y que podemos extraer del primer punto del preámbulo:
 Sistemas de información, entendiendo por tales el conjunto organizado de
recursos para que la información se pueda recoger, almacenar, procesar,
mantener, usar, compartir, distribuir, poner a disposición, presentar o transmitir.
 Datos.
 Comunicaciones.
 Servicios, extendiendo su aplicabilidad a todos los servicios ofrecidos por medios
electrónicos, independientemente de que el usuario acceda de forma
electrónica, pues un trámite presencial también es considerado electrónico si su
gestión es electrónica.

E. Plazo de adecuación.

El Real Decreto 951/2015, de 23 de octubre, de modificación del anterior RD


establece que los sistemas deberán adecuarse a lo dispuesto en un plazo de
veinticuatro meses (4 de noviembre de 2017).

EL PROCESO - PASOS PARA CUMPLIR CON EL ESQUEMA


NACIONAL DE SEGURIDAD (ENS)

A. Establecer una Política de Seguridad:


 Establecer roles, funciones y procedimiento de designación.
B. Identificar la información y los servicios:
 Inventariar servicios, información y sistemas
 Categorizar los servicios según su criticidad (Disponibilidad, Integridad,
Confidencialidad, Autenticidad, Trazabilidad.
C. Análisis de riesgos y declaración de aplicabilidad de las medidas recogidas en el
Anexo II del ENS.
 Analizar las medidas aplicadas e identificar el grado de cumplimiento.
 Establecer las medidas de seguridad aplicables y documentarlas (Declaración de
aplicabilidad)
D. Auditaría y conformidad

Javier Peña Alonso @japealonso Fundación Fiasep


5

A. Política de Seguridad de la Información.

El Artículo 11 del ENS establece que todos los órganos superiores de las
Administraciones públicas deberán disponer formalmente de su política de seguridad,
que será aprobada por el titular del órgano superior correspondiente y se plasmará en
un documento escrito, en el que, de forma clara, se precise, al menos, lo siguiente:

 Los objetivos o misión de la organización.


 El marco legal y regulatorio en el que se desarrollarán las actividades.
 Los roles o funciones de seguridad, definiendo para cada uno, los deberes y
responsabilidades del cargo, así como el procedimiento para su designación y
renovación.
 La estructura del comité o los comités para la gestión y coordinación de la
seguridad, detallando su ámbito de responsabilidad, los miembros y la relación
con otros elementos de la organización.
 Las directrices para la estructuración de la documentación de seguridad del
sistema, su gestión y acceso.

La política de seguridad debe referenciar y ser coherente con lo establecido en el


Documento de Seguridad que exige el Real Decreto 1720/2007, de 21 de diciembre, por

Javier Peña Alonso @japealonso Fundación Fiasep


el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
6
diciembre, de protección de datos de carácter persona, en lo que corresponda.
Los municipios podrán disponer de una política de seguridad común elaborada por
la Diputación, Cabildo, Consejo Insular u órgano unipersonal correspondiente de
aquellas otras corporaciones de carácter representativo a las que corresponda el
gobierno y la administración autónoma de la provincia o, en su caso, a la entidad
comarcal correspondiente a la que pertenezcan.
Para poder desarrollarla en primer lugar debe designarse a los integrantes que van
a conformar el Comité de Seguridad. Así mismo se asignarán el/los responsables(s) de
seguridad encargados de velar por el cumplimiento de las futuras medidas de seguridad
a implantar en la Entidad.

 El responsable de información determina los requisitos de la información


tratada. Suele ser un alto cargo.
 El responsable del servicio determina los requisitos de los servicios prestados.
Suele ser un jefe de servicio o equivalente, habitualmente jerárquicamente
supeditado al responsable de la información.
 El responsable de seguridad, determinará las decisiones para satisfacer los
requisitos de seguridad de la información y de los servicios. Tiene un perfil más
técnico ya que su misión es asegurarse de que las medidas de seguridad que se
van a aplicar satisfacen los requisitos demandados por los responsables de la
información y los servicios.
 El responsable del sistema, constituye habitualmente el punto de contacto del
sistema, es en líneas generales el encargado de las operaciones del sistema y,
desde el punto de vista operativo, conocer todos los elementos que constituyen
el sistema y asegurar que existe autorización previa a su entrada en
funcionamiento. Un ejemplo del perfil de responsable del sistema sería la
Jefatura de Sección de Infraestructuras Tecnológicas

Las Secciones típicas de una Política de Seguridad de la Información son:


1. Misión u objetivos del organismo.
2. Marco normativo.
3. Organización de seguridad.
 Definición de comités y roles unipersonales.
 Funciones.
 Responsabilidades.
 Mecanismos de coordinación.
 Procedimientos de designación de personas.
4. Concienciación y formación.
5. Postura para la gestión de riesgos.
 Plan de análisis.

Javier Peña Alonso @japealonso Fundación Fiasep


 Criterios de evaluación de riesgos.
7
 Directrices de tratamiento
 Proceso de aceptación del riesgo residual
6. Proceso de revisión de la política de seguridad

B. Identificar la información y los servicios.

Se tiene que proceder a inventariar, identificar y clasificar, todos los elementos que
intervengan en el sistema de información de la Administración Pública: (Servicios,
Información, Hardware, Software, Personal, Instalaciones).
Cada Activo tiene que ser valorado con los criterios definidos en la guía CCN-STIC-
803, ESQUEMA NACIONAL DE SEGURIDAD, VALORACIÓN DE LOS SISTEMAS:
Disponibilidad, Integridad, Confidencialidad, Trazabilidad, Autenticidad, dando
valoraciones de cada uno de los activos fundamentales según los niveles establecidos:
BAJO, MEDIO, ALTO o SIN VALORAR.
Dimensiones de seguridad:
 Confidencialidad. Propiedad o característica consistente en que la información
ni se pone a disposición, ni se revela a individuos, entidades o procesos no
autorizados. La pregunta a responder para valorar un activo en este criterio será:
¿Qué importancia tendría que el activo fuera revelado a personas no
autorizadas?
 Integridad. Propiedad o característica consistente en que el activo de
información no ha sido alterado de manera no autorizada Para valorar este
criterio la pregunta a responder será: ¿Qué importancia tendría que el activo
fuera alterado por alguien sin autorización?
 Autenticidad. Propiedad o característica consistente en que una entidad es
quien dice ser o bien que garantiza la fuente de la que proceden los datos. La
pregunta aquí sería, ¿qué importancia tendría que el activo no fuera auténtico?,
 Trazabilidad. Propiedad o característica consistente en que las actuaciones de
una entidad pueden ser imputadas exclusivamente a dicha entidad. La valoración

Javier Peña Alonso @japealonso Fundación Fiasep


de este criterio responde a la pregunta de ¿qué importancia tendría no poder
8
identificar a quien haya ejecutado una acción?
 Disponibilidad. Propiedad o característica de los activos consistente en que las
entidades o procesos autorizados tienen acceso a los mismos cuando lo
requieren. Para valorar este criterio la pregunta a responder será: ¿Qué
importancia tendría que el activo no estuviera disponible cuando se necesita?

Valor Escala (Confidencialidad)

Alto  Porque la información debe conocerla un número muy reducido de personas


 Por disposición legal o administrativa: ley, decreto, orden, reglamento, …
 Porque su revelación causaría un grave daño, de difícil o imposible reparación
 Porque su revelación supondría el incumplimiento grave de una norma
 Porque su revelación causaría pérdidas económicas elevadas o alteraciones financieras
significativas
 Porque su revelación causaría un daño reputacional grave con los ciudadanos o con otras
organizaciones
 Porque su revelación podría desembocar en protestas masivas (alteración sería del orden
público)

Medio  Porque la información deben conocerla sólo quienes lo necesiten para su trabajo, con
autorización explícita.
 Por disposición legal o administrativa: ley, decreto, orden, reglamento, …
 Porque su revelación causaría algún perjuicio.
 Porque su revelación supondría el incumplimiento leve de una norma.
 Porque su revelación causaría pérdidas económicas apreciables.
 Porque su revelación causaría un daño reputacional importante con los ciudadanos o con
otras organizaciones
 Porque su revelación podría desembocar en protestas públicas (alteración del orden
público)

Bajo  Porque la información no deben conocerla personas ajenas a la organización


 Por disposición legal o administrativa: ley, decreto, orden, reglamento, …
 Porque su revelación causaría algún perjuicio
 Porque su revelación supondría el incumplimiento leve de una norma
 Porque su revelación supondría pérdidas económicas apreciables
 Porque su revelación causaría un daño reputacional apreciable con los ciudadanos con
otras organizaciones
 Porque su revelación podría desembocar en múltiples protestas individuales

Javier Peña Alonso @japealonso Fundación Fiasep


S/V  Información de carácter público, accesible por cualquier persona
9

Valor Escala (Integridad)

Alto  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque su manipulación o modificación no autorizada causaría un grave daño, de difícil o
imposible reparación
 Porque su manipulación o modificación no autorizada causaría pérdidas económicas
elevadas o alteraciones financieras significativas
 Porque su manipulación o modificación no autorizada causaría un daño reputacional
grave con los ciudadanos o con otras organizaciones
 Porque su manipulación o modificación no autorizada podría desembocar en protestas
masivas (alteración sería del orden público)

Medio  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque su manipulación o modificación no autorizada causaría un daño importante,
aunque subsanable.
 Porque su manipulación o modificación no autorizada supondría el incumplimiento
material o formal de una norma.
 Porque su manipulación o modificación no autorizada causaría pérdidas económicas
importantes
 Porque su manipulación o modificación no autorizada causaría un daño reputacional
importante con los ciudadanos o con otras organizaciones.
 Porque su manipulación o modificación no autorizada podría desembocar en protestas
públicas (alteración del orden público).

Bajo  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque su manipulación o modificación no autorizada causaría algún perjuicio
 Porque su manipulación o modificación no autorizada supondría el incumplimiento leve
de una norma.
 Porque su manipulación o modificación no autorizada supondría pérdidas económicas
apreciables
 Porque su manipulación o modificación no autorizada causaría un daño reputacional
apreciable con los ciudadanos o con otras organizaciones
 Porque su manipulación o modificación no autorizada podría desembocar en múltiples
protestas individuales

Javier Peña Alonso @japealonso Fundación Fiasep


Sin  Cuando los errores en su contenido carecen de consecuencias o son fácil y rápidamente
10
Valorar reparables

Valor Escala (Autenticidad).

Alto  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque la falsedad en su origen o en su destinatario causaría un grave daño, de difícil o
imposible reparación.
 Porque la falsedad en su origen o en su destinatario causaría pérdidas económicas
elevadas o alteraciones financieras significativas.
 Porque la falsedad en su origen o en su destinatario causaría un daño reputacional grave
con los ciudadanos o con otras organizaciones.
 Porque la falsedad en su origen o en su destinatario podría desembocar en protestas
masivas (alteración sería del orden público).

Medio  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque la falsedad en su origen o en su destinatario: causaría un daño importante,
aunque subsanable.
 Porque la falsedad en su origen o en su destinatario causaría pérdidas económicas
importantes.
 Porque la falsedad en su origen o en su destinatario causaría un daño reputacional
importante con los ciudadanos o con otras organizaciones.
 Porque su la falsedad en su origen o en su destinatario podría desembocar en protestas
públicas (alteración del orden público).

Bajo  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque su la falsedad en su origen o en su destinatario causaría algún perjuicio
 Porque su la falsedad en su origen o en su destinatario supondría el incumplimiento leve
de una norma
 Porque su la falsedad en su origen o en su destinatario supondría pérdidas económicas
apreciables.
 Porque su la falsedad en su origen o en su destinatario causaría un daño reputacional
apreciable con los ciudadanos o con otras organizaciones.
 Porque su la falsedad en su origen o en su destinatario podría desembocar en múltiples
protestas individuales.

Sin  Cuando el origen es irrelevante o ampliamente conocido por otros medios

valorar

Javier Peña Alonso @japealonso Fundación Fiasep


 Cuando el destinatario es irrelevante, por ejemplo, por tratarse de información de
11
difusión anónima

Valor Escala (Trazabilidad)

Alto  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque la incapacidad para rastrear un acceso a la información impediría o dificultaría
notablemente la capacidad de subsanar un error importante.
 Porque la incapacidad para rastrear un acceso a la información dificultaría notablemente
la capacidad para perseguir delitos
 Porque la incapacidad para rastrear un acceso a la información facilitaría enormemente
la comisión de delitos graves

Medio  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque la incapacidad para rastrear un acceso a la información impediría o dificultaría
notablemente la capacidad de subsanar un error importante.
 Porque la incapacidad para rastrear un acceso a la información dificultaría notablemente
la capacidad para perseguir delitos.
 Porque la incapacidad para rastrear un acceso a la información facilitaría la comisión de
delitos.

Bajo  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque la incapacidad para rastrear un acceso a la información dificultaría la capacidad
de subsanar errores.
 Porque la incapacidad para rastrear un acceso a la información dificultaría la capacidad
para perseguir delitos

Sin  Cuando no se pueden producir errores de importancia, o son fácilmente reparables por

valorar otros medios


 Cuando no se pueden perpetrar delitos relevantes, o su investigación es fácilmente
realizable por otros medios

Valor Escala (Disponibilidad)

Alto  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque la indisponibilidad de la información causaría un grave daño, de difícil o imposible
reparación
 Porque la indisponibilidad de la información supondría el incumplimiento grave de una
norma

Javier Peña Alonso @japealonso Fundación Fiasep


 Porque la indisponibilidad de la información causaría un daño reputacional grave con los
12
ciudadanos o con otras organizaciones
 Porque la indisponibilidad de la información podría desembocar en protestas masivas
(alteración seria del orden público)
 Cuando el RTO (tiempo máximo que el servicio puede permanecer interrumpido) es
inferior a 4 horas

Medio  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque la indisponibilidad de la información causaría un daño importante, aunque
subsanable.
 Porque la indisponibilidad de la información supondría el incumplimiento material o
formal de una norma
 Porque la indisponibilidad de la información causaría un daño reputacional importante
con los ciudadanos o con otras organizaciones
 Porque su revelación podría desembocar en protestas públicas (alteración delorden
público)
 Cuando el RTO (tiempo máximo que el servicio puede permanecer interrumpido) es de
entre 4 y 24 horas (un día)

Bajo  Por disposición legal o administrativa: ley, decreto, orden, reglamento, …


 Porque la indisponibilidad de la información causaría algún perjuicio
 Porque la indisponibilidad de la información supondría el incumplimiento leve de una
norma.
 Porque la indisponibilidad de la información causaría un daño reputacional apreciable
con los ciudadanos o con otras organizaciones.
 Porque la indisponibilidad de la información podría desembocar en múltiples protestas
individuales
 Cuando el RTO se sitúa entre 1 y 5 días (una semana)

Sin  Cuando la información es prescindible por tiempo indefinido

valorar  Cuando el RTO es superior a 5 días laborables (una semana)

 Un sistema de información será de categoría ALTA si alguna de sus dimensiones


de seguridad alcanza el nivel ALTO.
 Un sistema de información será de categoría MEDIA si alguna de sus
dimensiones de seguridad alcanza el nivel MEDIO, y ninguna alcanza un nivel
superior.

Javier Peña Alonso @japealonso Fundación Fiasep


 Un sistema de información será de categoría BÁSICA si alguna de sus
13
dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel
superior.
Ejemplo de categorización:

ID ACTIVO C I A T D
SERVICIOS
S01 Portal web (SEDE) S/V B B B M
S02 Inicio de Expedientes (SEDE) M M M M B
S03 Consulta de Expedientes (SEDE) M B B B B

INFORMACIÓN
I01 Información web B B B B M
I02 Expedientes M M M M M
I03 Documentación de Expedientes B M M M B

HARDWARE
HW01 Servidor Cobos M M M M M
HW02 Servidor Sotopalacios M M M M M
HW03 Servidores Cernegula M M M M M
SOFTWARE
SW01 Aplicación Web M M M M M
SW02 Intranet de los Ayuntamientos M M M M M
SW03 E-sign M M M M M

PERSONAL
P01 Personal de la Diputación M M M M M
P02 Personal de los Ayuntamientos M M M M M
P03 Personal subcontratado M M M M M
INSTALACIONES
IN01 CPD M M M M M
IN02 Oficinas centrales M M M M M
IN03 Oficinas extraradios M M M M M

C. Análisis de riesgos y declaración de aplicabilidad de las medidas recogidas en el


Anexo II del ENS.

C.a. Análisis de riesgos

Javier Peña Alonso @japealonso Fundación Fiasep


Analizar riesgos es estimar el grado de exposición a que una amenaza se materialice
14
sobre uno o más activos, causando daños o perjuicios a la organización. El riesgo indica
lo que le podría pasar a los activos si no se protegieran adecuadamente. Para realizar
este análisis se emplea la metodología MAGERIT (Metodología de Análisis y Gestión de
Riesgos de los sistemas de Información de las administraciones públicas) y la
herramienta PILAR (Procedimiento Informático y Lógico de Análisis de Riesgos)
Para realizar un análisis de Riesgos se debe partir de un inventario de los activos del
servicio de información de la Administración Pública. Habitualmente se consideran los
siguientes tipos de activos:
 Hardware, equipos necesarios para la prestación de los servicios identificados.
 Software, aplicaciones utilizadas en la prestación de los servicios identificados.
 Personal, personal involucrado en la prestación de los servicios identificados.
 Instalaciones, ubicaciones, edificios u oficinas utilizadas durante la prestación de
los servicios identificados

Tras la valoración se consideran:


 Las amenazas que pueden afectar a esos activos.
 La frecuencia con la cual pueden ocurrir esas amenazas.
Con estos datos se obtiene un informe con las amenazas, vulnerabilidades e
impactos que pueden producirse en los sistemas de información de la entidad, es decir
se consigue una valoración del riesgo inicial. La siguiente tarea es valorar la madurez de
las medidas de seguridad implantadas actualmente para proteger los activos.
Los niveles de identificación son los siguientes:

Javier Peña Alonso @japealonso Fundación Fiasep


15
La siguiente tarea es determinar que controles de los existentes en el ENS, se
encuentran ya implantados. Con los niveles ya implantados y aquellos que el ENS
establece como obligatorios, se obtiene el nivel de riesgos actual.
Como regla general, se exigirá un nivel de madurez en las medidas en proporción al
nivel de las dimensiones afectadas o de la categoría del sistema:

C.b. Medidas de seguridad

Una vez que se ha determinado la categoría de un sistema, se deben seleccionar


aquellas medidas de seguridad que corresponden a ese nivel de sistema.
El RD ENS, en su anexo II se recogen las 75 medidas de seguridad y se aplicarán para
lograr cumplir los principios básicos y los requisitos mínimo de forma proporcional a:
 La dimensión de seguridad que sea relevante para el sistema (disponibilidad,
integridad, confidencialidad, autenticación y trazabilidad).
 La categoría del sistema a proteger.
Las medidas de seguridad se dividen en tres grupos:
1. Marco organizativo [org]. Medidas relacionadas con la organización global de la
seguridad.

Javier Peña Alonso @japealonso Fundación Fiasep


2. Marco operacional [op]. Conjunto de medidas para proteger el funcionamiento
16
del sistema como conjunto de integral de componentes para un fin.
3. Medidas de protección [mp]. Se centran en proteger activos concretos, según
su naturaleza y categoría exigida por el nivel de seguridad de las dimensiones
afectadas.

Dependiendo del nivel de criticidad de cada activo se deben aplicar las siguientes
medidas.

Javier Peña Alonso @japealonso Fundación Fiasep


Estas medidas se desglosan en acciones de implementación de la Guía de seguridad
17
- CCN-STIC 804, y se verifican con la Guía de Seguridad CCN-STIC 808, por lo que las 75
medidas iniciales se convierten en más de 400 acciones.
La aplicación de las medidas del Anexo II del RD ENS está condicionada a la
valoración del nivel de seguridad de cada dimensión y a la categoría del sistema de
información que se trate. El proceso de determinación de categorías y niveles se
establece en el Anexo I que da unos criterios generales para determinar si los requisitos
de seguridad son de nivel ALTO, MEDIO O BAJO en cada una de las dimensiones de
seguridad: disponibilidad [D], autenticidad [A], integridad [I], confidencialidad [C] y
trazabilidad [T].
El ENS establece tres categorías para los sistemas de información:
 ALTA. Si alguna de las dimensiones de seguridad alcanza el nivel ALTO.
 MEDIA. Si alguna de las dimensiones alcanza el nivel medio y ninguna un nivel
superior.
 BÁSICA. Si alguna de las dimensiones alcanza el nivel bajo y ninguna un nivel
superior.
La guía CCN-STIC 803 amplía los criterios para determinar el nivel de seguridad
requerido en cada dimensión.

C.c. Declaración de Aplicabilidad.

El conjunto de medidas seleccionadas debe documentarse en una Declaración de


Aplicabilidad, firmada por el responsable de la seguridad del sistema.

D. Auditoria y Conformidad.

Consciente de la necesidad de dar publicidad a las garantías adoptadas en el


desenvolvimiento de las Administraciones Públicas y el desarrollo del procedimiento
administrativo prestado por medios electrónicos, el artículo 41 del ENS señala:
Los órganos y Entidades de Derecho Público darán publicidad en las
correspondientes sedes electrónicas a las declaraciones de conformidad, y a los
distintivos de seguridad de los que sean acreedores, obtenidos respecto al cumplimiento
del Esquema Nacional de Seguridad.
Según la categoría del sistema se distingue entre Declaración de conformidad y
Certificación de conformidad, recogidos en la Guía 809 (Declaración y Certificación de
Conformidad con el ENS):

 Declaración de Conformidad: de aplicación a sistemas de información de


categoría Básica. Podrá representarse mediante Sello o Distintivo de Declaración

Javier Peña Alonso @japealonso Fundación Fiasep


de Conformidad generado por la entidad bajo cuya responsabilidad esté el
18
sistema.

 Certificación de Conformidad: de aplicación obligatoria a sistemas de


información de categoría Media o Alta y voluntaria en el caso de sistemas de
información de categoría Básica.

La Guía de Seguridad(CCN-STIC-809): Declaración y Certificación de Conformidad


con el ENS y Distintivos de Cumplimiento” establece que, cuando se trate de sistemas
de información de categoría media o alta, la certificación de conformidad con el ENS
deberá ser expedida por una entidad certificadora acreditada por la Entidad Nacional de
Acreditación, conforme a la norma UNE-EN ISO/IEC 17065:20121.

El artículo 34 establece que las auditorias de seguridad de los sistemas de


información a los que se refiere el ENS serán objeto de una auditoría regular ordinaria,
al menos cada dos años, o si se producen cambios significativos, que verifique el
cumplimiento de los requerimientos del Esquema Nacional de Seguridad.
La auditoría de los sistemas de categoría media/alta deberá ser realizada por una
entidad de certificación acreditada para expedir certificaciones de conformidad con el
ENS. A fecha 15 de noviembre de 2016 se encuentran en proceso de certificación Aenor,
Audentis Audit Services, S.L y BDO Auditores, S.L.P
La certificación de acreditación para expedir certificaciones de conformidad con el
ENS, las emite la Entidad Nacional de Acreditación (AENEC)

Javier Peña Alonso @japealonso Fundación Fiasep


19

E. Evaluar el estado de la Seguridad


El Esquema Nacional de Seguridad (ENS) establece la obligación de evaluar
regularmente el estado de la seguridad de los sistemas por parte de las Administraciones
Públicas. Así, su artículo 35 señala: "El Comité Sectorial de Administración Electrónica
articulará los procedimientos necesarios para conocer regularmente el estado de las
principales variables de la seguridad en los sistemas de información a los que se refiere
el presente real decreto, de forma que permita elaborar un perfil general del estado de
la seguridad en las Administraciones públicas". Asimismo, el ENS dispone la necesidad
de establecer un sistema de medición de la seguridad del sistema estableciendo un
conjunto de indicadores que mida el desempeño real del sistema en materia de
seguridad, en los siguientes aspectos:
 Grado de implantación de las medidas de seguridad.
 Eficacia y eficiencia de las medidas de seguridad.
 Impacto de los incidentes de seguridad
Para cumplir con este mandato, el CCN (https://www.ccn-cert.cni.es) ha
desarrollado el proyecto INES (Informe Nacional del Estado de Seguridad) con el fin de

Javier Peña Alonso @japealonso Fundación Fiasep


facilitar la labor de todos los organismos. Este proyecto dispone de una plataforma
20
telemática, que proporciona a las distintas Administraciones Públicas un conocimiento
más rápido e intuitivo de su nivel de adecuación al ENS y del estado de seguridad de sus
sistemas.

F. ¿Preguntas?

Si una Administración Pública tienes sus sistemas certificados contra ISO 27001,
¿debe entender que ya está cumpliendo con el ENS?
NO
ISO 27001 y el ENS, pese a ser normas, persiguen objetivos distintos: ISO 27001 es
una norma de gestión que indica cómo llegar a tener un sistema de gestión de seguridad
de la información (para ello se apoya en las recomendaciones de ISO 27002). Sin
embargo, el ENS es una norma de protección.
Sin embargo, dicho esto, conviene añadir que quién haya certificado su
servicio/sistema conforme a ISO 27001 está muy cerca de asegurar el cumplimiento del
ENS, cuya conformidad debe alcanzarse siguiendo la metodología descrita en los Anexos
I, II y III del Real Decreto 3/2010.
Terminar diciendo que el cumplimiento del Anexo II del ENS (medidas de seguridad)
es obligatorio, aunque algunas de tales medidas fueren coincidentes con algunos de los
controles de ISO 27001/27002.

ESQUEMA NACIONAL DE INTEROPERABILIDAD (ENI)

El Esquema Nacional de Interoperabilidad (ENI) regulado por el Real Decreto 4/2010


de 8 de enero, comprende el conjunto de criterios y recomendaciones que deberán ser
tenidos en cuenta por las Administraciones Públicas para la toma de decisiones
tecnológicas que garanticen la interoperabilidad.
Interoperabilidad es la capacidad de los sistemas de información y de los
procedimientos a los que éstos dan soporte, de compartir datos y posibilitar el
intercambio de información y conocimiento entre ellos, por lo cual es una premisa de
obligada realización para el desarrollo, integración y la prestación de servicios conjuntos
por parte de las Administraciones Públicas.
La finalidad del ENI es la creación de las condiciones necesarias para garantizar el
adecuado nivel de interoperabilidad técnica, semántica y organizativa de los sistemas y
aplicaciones utilizados por las Administraciones públicas, que permita el ejercicio de

Javier Peña Alonso @japealonso Fundación Fiasep


derechos y el cumplimiento de deberes a través del acceso electrónico a los servicios
21
públicos, a la vez que redundan en beneficio de la eficacia y la eficiencia.

A. Ámbito de aplicación.

 Administración General del Estado


 Administraciones de las Comunidades Autónomas y las Entidades que integran
la Administración Local, así como las entidades de derecho público vinculadas o
dependientes de las mismas (en adelante, organizaciones).
 A los ciudadanos en sus relaciones con las Administraciones Públicas.
 A las relaciones entre las distintas Administraciones Públicas.

B. Objetivos.

El ENI persigue la creación de las condiciones necesarias para garantizar el adecuado


nivel de interoperabilidad técnica, semántica y organizativa de los sistemas y
aplicaciones empleados por las administraciones públicas, que permita el ejercicio de
derechos y el cumplimiento de deberes a través del acceso electrónico a los servicios
públicos. Sus objetivos por tanto pueden resumirse en los siguientes puntos:

 Comprender los criterios y recomendaciones que deberán ser tenidos en cuenta


por las Administraciones Públicas para la toma de decisiones tecnológicas que
garanticen la interoperabilidad, y que eviten la discriminación a los ciudadanos
por razón de su elección tecnológica.
 Introducir los elementos comunes que han de guiar la actuación de las
Administraciones Públicas en materia de interoperabilidad.
 Aportar un lenguaje común para facilitar la interacción de las Administraciones
Púbicas, así como la comunicación de los requisitos de interoperabilidad a la
industria

C. Estructura y contendido

C.1. Principios de la interoperabilidad.

 La interoperabilidad como cualidad integral presente desde la concepción de


los servicios y sistemas y a lo largo de su ciclo de vida, planificación, diseño,
adquisición, despliegue, explotación, publicación, conservación, acceso e
interconexión.
 Carácter multidimensional de la interoperabilidad, contemplando sus
dimensiones organizativa, semántica y técnica. La cadena de interoperabilidad
se manifiesta en la práctica en los acuerdos interadministrativos, en el

Javier Peña Alonso @japealonso Fundación Fiasep


despliegue de los sistemas y servicios, en la determinación y uso de estándares,
22
en las infraestructuras y servicios básicos de las administraciones públicas y en
la publicación y reutilización de las aplicaciones de las mismas, de la
documentación asociada y de otros objetos de información. Todo ello, sin olvidar
la dimensión temporal que ha de garantizar el acceso a la información a lo largo
del tiempo.
 Soluciones multilaterales para de esta forma obtener las ventajas derivadas del
escalado de las aplicaciones multiplataforma.

C.2. Dimensiones de la interoperabilidad.

 Interoperabilidad Organizativa. Contempla la modelización de los procesos y la


colaboración entre las administraciones.

 Publicar las condiciones de acceso a los servicios.


 Publicar los servicios a través de la Red de comunicaciones de las AA.PP.
 Usar nodos de interoperabilidad.
 Inventariar información administrativa (procedimientos y servicios).
 Codificar de forma unívoca la información administrativa.
 Interconectar registros de entrada y salida.

 Interoperabilidad Semántica. Contempla que la información pueda ser


interpretable y reutilizable de forma automática.

 Usar modelos de datos comunes y sectoriales; y codificaciones asociadas.


 Publicar modelos de datos en el Centro de Interoperabilidad Semántica.

 Interoperabilidad Técnica. Contempla la interconexión a través de diversos


componentes tecnológicos y a directrices comunes que permitan la adopción de
soluciones que funcionen en un escenario multilateral.

 Usar estándares abiertos y de uso generalizado por los ciudadanos.


 Usar infraestructuras y servicios comunes.
 Utilizar preferentemente la Red de Comunicaciones de las Administraciones
Públicas.
 Reutilizar las aplicaciones de las Administraciones Públicas.
 Interoperabilidad de la firma electrónica y de los certificados.

Javier Peña Alonso @japealonso Fundación Fiasep


23

C.3. Reutilización.
El ENI trata de la reutilización de las aplicaciones de las Administraciones públicas, de la
documentación asociada y de otros objetos de información. Concretamente el ENI
establece:
 Las condiciones de licenciamiento de las aplicaciones y de la documentación
asociada, y de otros objetos de información de los cuales las Administraciones
públicas sean titulares de los derechos de propiedad intelectual y que éstas
puedan poner a disposición de otras Administraciones públicas y de los
ciudadanos, sin contraprestación y sin necesidad de convenio, tendrán en cuenta
que el fin perseguido es el aprovechamiento y la reutilización.
 La Administración General del Estado mantendrá el Directorio de aplicaciones
para su libre reutilización que podrá ser accedido a través del Centro de
Transferencia de Tecnología.
 Las Administraciones públicas enlazarán los directorios de aplicaciones para su
libre reutilización.
 Las Administraciones públicas deberán tener en cuenta las soluciones
disponibles para la libre reutilización que puedan satisfacer total o parcialmente
las necesidades de los nuevos sistemas y servicios o la mejora y actualización de
los ya implantados.
 Las Administraciones públicas procurarán la publicación del código de las
aplicaciones, en desarrollo o finalizadas, en los directorios de aplicaciones para
su libre reutilización con el fin de favorecer las actuaciones de compartir,
reutilizar y colaborar, en beneficio de una mejor eficiencia.

C.4. Interoperabilidad de la política de firma electrónica y de certificados.


 La Administración General del Estado definirá una política de firma electrónica y
de certificados que servirá de marco general de interoperabilidad para la

Javier Peña Alonso @japealonso Fundación Fiasep


autenticación y el reconocimiento mutuo de firmas electrónicas dentro de su
24
ámbito de actuación. No obstante, dicha política podrá ser utilizada como
referencia por otras Administraciones públicas para definir las políticas de
certificados y firmas a reconocer dentro de sus ámbitos competenciales.
 La política de firma tratara, entre otras cuestiones recogidas en su definición en
el anexo I, (ENI) aquellas que afectan a la interoperabilidad incluyendo los
formatos de firma, los algoritmos a utilizar y longitudes mínimas de las claves,
las reglas de creación y validación de la firma electrónica, la gestión de las
políticas de firma, el uso de las referencias temporales y de sello de tiempo, así
como la normalización de la representación de la firma electrónica en pantalla y
en papel para el ciudadano y en las relaciones entre las Administraciones
públicas.
 Se tratan aspectos relativos a la validación de certificados y firmas electrónicas,
las listas de confianza, las aplicaciones usuarias, los prestadores de servicios de
certificación y las plataformas de validación de certificados y firma electrónica.

C.5. Recuperación y conservación del documento.


Las Administraciones Públicas adoptarán medidas organizativas y técnicas con el
fin de garantizar la interoperabilidad en relación con la recuperación y conservación
de los documentos electrónicos a lo largo de su ciclo de vida.
 Las Administraciones públicas crearán repositorios electrónicos,
complementarios y equivalentes en cuanto a su función a los archivos
convencionales, destinados a cubrir el conjunto del ciclo de vida de los
documentos electrónicos

Javier Peña Alonso @japealonso Fundación Fiasep


 Se aplicarán las medidas de seguridad establecidas en el Esquema Nacional de
25
Seguridad.
 El documento se conservará en el formato en que haya sido elaborado, enviado
o recibido, y preferentemente en un formato correspondiente a un estándar
abierto que preserve a lo largo del tiempo la integridad del contenido del
documento, de la firma electrónica y de los metadatos que lo acompañan.
 La digitalización de documentos en soporte papel por parte de las
Administraciones públicas se realizará de acuerdo con lo indicado en la norma
técnica de interoperabilidad correspondiente.

C.6. Conformidad y mecanismos de control


 La interoperabilidad de las sedes y registros electrónicos, así como la del acceso
electrónico de los ciudadanos a los servicios públicos, se regirán por lo
establecido en el Esquema Nacional de Interoperabilidad.
 Cada órgano o Entidad de Derecho Público establecerá sus mecanismos de
control para garantizar, de forma efectiva, el cumplimiento del Esquema
Nacional de Interoperabilidad.
 Las Administraciones públicas darán publicidad, en las correspondientes sedes
electrónicas, a las declaraciones de conformidad y a otros posibles distintivos de
interoperabilidad de los que sean acreedores, obtenidos respecto al
cumplimiento del Esquema Nacional de Interoperabilidad.

D. Normas técnicas de interoperabilidad e instrumentos para la interoperabilidad

Las Normas Técnicas de Interoperabilidad (NTIs) desarrollan aspectos concretos de


diversas cuestiones necesarias para asegurar los aspectos más prácticos y operativos de
la interoperabilidad entre las administraciones públicas y con el ciudadano.
Se distinguen tres bloques de normas:

1) Normas Técnicas de Interoperabilidad relacionadas con el documento


electrónico.
 Resolución de 19 de julio de 2011 (BOE de 30 de julio), de la Secretaría de
Estado para la Función Pública, por la que se aprueba la Norma Técnica de
Interoperabilidad de Documento Electrónico.
 Resolución de 19 de julio de 2011 (BOE de 30 de julio), de la Secretaría de
Estado para la Función Pública, por la que se aprueba la Norma Técnica de
Interoperabilidad de Expediente Electrónico.
 Resolución de 19 de julio de 2011 (BOE de 30 de julio), de la Secretaría de
Estado para la Función Pública, por la que se aprueba la Norma Técnica de
Interoperabilidad de Digitalización de Documentos.

Javier Peña Alonso @japealonso Fundación Fiasep


 Resolución de 28 de junio de 2012 (BOE de 26 de julio), de la Secretaría de
26
Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica
de Interoperabilidad de Política de gestión de documentos electrónicos.
 Resolución de 19 de julio de 2011 (BOE de 30 de julio), de la Secretaría de
Estado para la Función Pública, por la que se aprueba la Norma Técnica de
Interoperabilidad de Procedimientos de copiado auténtico y conversión
entre documentos electrónicos.
 Resolución de 19 de julio de 2011 (BOE de 30 de julio), de la Secretaría de
Estado para la Función Pública, por la que se aprueba la Norma Técnica de
Interoperabilidad de Procedimientos de copiado auténtico y conversión
entre documentos electrónicos.

2) Normas relacionadas con la interconexión, infraestructuras y servicios


comunes.
 Resolución de 28 de junio de 2012 (BOE de 26 de julio), de la Secretaría de
Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica
de Interoperabilidad de Protocolos de intermediación de datos.
 Resolución de 28 de junio de 2012 (BOE de 26 de julio), de la Secretaría de
Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica
de Interoperabilidad de Relación de modelos de datos.
 Resolución de 19 de julio de 2011 (BOE de 30 de julio), de la Secretaría de
Estado para la Función Pública, por la que se aprueba la Norma Técnica de
Interoperabilidad de requisitos de conexión a la red de comunicaciones de
las Administraciones Públicas españolas.
 Resolución de 19 de julio de 2011 (BOE de 30 de julio), de la Secretaría de
Estado para la Función Pública, por la que se aprueba la Norma Técnica de
Interoperabilidad de Modelo de Datos para el Intercambio de asientos entre
las entidades registrales.
 Resolución de 27 de octubre de 2016 (BOE de 3 de noviembre), de la
Secretaría de Estado de Administraciones Públicas, por la que se aprueba la
Norma Técnica de Interoperabilidad de Política de Firma y Sello Electrónicos
y de Certificados de la Administración.
 Resolución de 19 de febrero de 2013 (BOE de 4 de marzo), de la Secretaría
de Estado de Administraciones Públicas, por la que se aprueba la Norma
Técnica de Interoperabilidad de Reutilización de recursos de la información.

3) Normas de carácter transversal.


 Resolución de 3 de octubre de 2012 (BOE 31 de octubre), de la Secretaría de
Estado de Administraciones Públicas, por la que se aprueba la Norma Técnica
de Interoperabilidad de Catálogo de estándares.
 Declaración de conformidad con el Esquema Nacional de Interoperabilidad

Javier Peña Alonso @japealonso Fundación Fiasep


E. Adecuación y conformidad con el Esquema Nacional de Interoperabilidad.
27

En la disposición transitoria primera del Real Decreto 4/2010 se estable un sistema


escalonado de adecuación al ENI. Los sistemas existentes a la entrada en vigor del ENI,
deberán estar adecuados en el plazo de doce meses, aunque si hubiese circunstancias
que impidan la plena aplicación, se dispondrá de un plan de adecuación que marque los
plazos de ejecución, en ningún caso superiores a 48 meses desde la entrada en vigor.
Los nuevos sistemas aplicarán lo establecido en el presente real decreto desde su
concepción.
Para la adecuación al Esquema Nacional de Interoperabilidad se han de tener en
cuenta los siguientes aspectos claves:

ART. ENI – Referencia al artículo o disposición del R.D. 4/2010 ENI.


Identificación del requisito planteado en el Listado de recursos para la adecuación.
artículo.

1. Interoperabilidad organizativa.
La interoperabilidad organizativa incluye los aspectos relativos a la publicación de
servicios a través de la Red de comunicaciones de las Administraciones Públicas, con las
condiciones asociadas; la utilización de nodos de interoperabilidad; y el mantenimiento
de inventarios de información administrativa (órganos administrativos, oficinas de
registro y atención al ciudadano, servicios y procedimientos).
ART. 8 – Servicios de las Administraciones públicas disponibles por medios electrónicos.
Establecer y publicar las condiciones para el Por ejemplo a través de los convenios de
consumo de los servicios puestos a disposición del colaboración para prestación mutua de servicios
resto de entidades por medios electrónicos de administración electrónica suscritos por el
incluyendo los servicios intermediados. Ministerio de Hacienda y Administraciones
Públicas con CC.AA., CRUE, Tribunal
Constitucional y protocolo con la Casa de S.M. El
Rey.

Ofrecer los servicios electrónicos a través de la  NTI de Protocolos de intermediación de


Red SARA u otra red equivalente o conectada a la datos.
misma.  NTI de Requisitos de conexión a la red de
comunicaciones de las Administraciones
Públicas españolas.
 Guía de aplicación de la NTI de Requisitos de
conexión a la red de comunicaciones de las
Administraciones Públicas españolas.
 Catálogo de servicios de la Red SARA.

Realizar el intercambio intermediado de datos  NTI de Protocolos de intermediación de


(provisión y consumo) a través de la Plataforma de datos.
intermediación del Ministerio de Hacienda y  Plataforma de Intermediación de Datos.
Administraciones Públicas conforme a la NTI de Sustitución de certificados en soporte papel
Protocolos de intermediación de datos: (SCSP).
- Agentes y roles.

Javier Peña Alonso @japealonso Fundación Fiasep


- Cumplimiento de los requisitos de la Plataforma.
28 - Trazabilidad.
- Catálogo de servicios.

ART. 9 – Inventarios de información administrativa.


Mantener el inventario de procedimientos y  Para la AGE, el Sistema de Información
servicios. Administrativa (SIA).

Mantener la relación actualizada de los órganos  Directorio Común de Unidades Orgánicas y


administrativos, oficinas de registro y atención al Oficinas (DIR3) y documentación relacionada.
ciudadano y las relaciones entre ellos.

2. Interoperabilidad semántica.
La interoperabilidad semántica se consigue a través de la publicación y aplicación de
los modelos de datos de intercambio horizontales y sectoriales, así como los relativos a
infraestructuras, servicios y herramientas comunes, a través del Centro de
Interoperabilidad Semántica de la Administración (CISE).

ART. 10 – Activos semánticos.


Identificar y publicar los modelos de datos  NTI de Relación de modelos de datos.
relativos a materias sujetas a intercambio de  Guía de aplicación de la NTI de Relación de
información con otras entidades. modelos de datos.
 Centro de Interoperabilidad Semántica.
 Centro de Transferencia de Tecnología (CTT).

Emplear las definiciones y codificaciones de  Ley 12/1989, de 9 de mayo de la Función


interés estadístico conformes a la Ley 12/1989, de Estadística Pública.
9 de mayo de la Función Estadística Pública.  Definiciones y codificaciones de interés
estadístico del INE.

3. Interoperabilidad técnica.
La interoperabilidad técnica se consigue a través del uso de estándares en las
condiciones previstas en la normativa para garantizar la independencia en la elección,
la adaptabilidad al progreso y la no discriminación de los ciudadanos por razón de su
elección tecnológica.

ART. 11 – Estándares aplicables.


Usar estándares abiertos y, de forma  NTI de Catálogo de estándares.
complementaria, estándares de uso generalizado  Corrección de errores de la NTI de Catálogo
aplicando lo previsto en la NTI de Catálogo de de estándares.
estándares con respecto a:  Guía de aplicación de la NTI de Catálogo de
- Documentos y expedientes electrónicos puestos estándares.
a disposición y requeridos del ciudadano.  Decisión de ejecución de la Comisión de 3 de
- Aplicaciones y servicios de administración abril de 2014 sobre la identificación de
electrónica en sus relaciones con el ciudadano y especificaciones técnicas TIC que se puedan

Javier Peña Alonso @japealonso Fundación Fiasep


otras entidades (sede electrónica, registro usar como referencia en la contratación
29 electrónico, etc.). pública.

4. Infraestructuras y servicios comunes.


Las infraestructuras y servicios comunes son aquellos elementos de dinamización,
simplificación y propagación de la interoperabilidad, a la vez que facilitadores de la
relación multilateral. Las Administraciones Publicas enlazarán aquellas infraestructuras y
servicios que puedan implantar en su ámbito de actuación con las infraestructuras y
servicios comunes que proporcione la Administración General del Estado para facilitar
la interoperabilidad y la relación multilateral.

ART. 12 – Uso de infraestructuras y servicios comunes y herramientas genéricas.


Enlazar las infraestructuras y servicios de la  Elementos comunes de la AGE.
entidad a los correspondientes proporcionados  Soluciones comunes de administración
por la AGE. electrónica.
 Catálogo de soluciones compartidas
disponibles.
 Infraestructuras comunes.
 Soluciones en cloud.
Intercambiar asientos registrales a través de ORVE  NTI de Modelo de Datos para el intercambio
/ SIR según lo dispuesto en la NTI de Modelo de de asientos entre las Entidades Registrales.
datos para el intercambio de asientos entre las  Guía de aplicación de la NTI de Modelo de
entidades registrales. Datos para el intercambio de asientos entre
las Entidades Registrales.
 ORVE/SIR.
 Transmisión de documentos digitalizados a
través de ORVE/SIR.
 Procedimientos y Recomendaciones de
Operación para las Entidades Integradas en
ORVE.

5. Comunicaciones con las Administraciones Públicas.


La utilización, preferentemente, de la Red de comunicaciones de las
Administraciones Públicas españolas para comunicarse entre sí.

ART. 13 – Red de comunicaciones de las AA.PP. españolas.


Conectar la red de la entidad a la Red SARA,  NTI de Requisitos de conexión a la red de
cumpliendo lo establecido a tal efecto en la NTI de comunicaciones de las Administraciones
Requisitos de conexión a la red de comunicaciones Públicas españolas.
de las Administraciones Públicas españolas.  Guía de aplicación de la NTI de Requisitos de
conexión a la red de comunicaciones de las
Administraciones Públicas españolas.
 Portal de la Red SARA.

ART. 14 – Plan de direccionamiento de la Administración.

Javier Peña Alonso @japealonso Fundación Fiasep


Aplicar el Plan de Direccionamiento de la  Plan de Direccionamiento e Interconexión de
30 Administración. Redes en la Administración.

ART. 15 – Hora oficial.


Sincronizar las aplicaciones y servicios de  Hora oficial – Real Instituto y Observatorio de
administración electrónica con la hora oficial a la Armada.
través del Real Instituto y Observatorio de la  Catálogo de servicios de la Red SARA.
Armada o utilizar los servicios de la Red SARA que
distribuye la hora oficial.

6. Reutilización y transferencia de tecnología.


La reutilización incluye condiciones de licenciamiento de las aplicaciones, de la
documentación asociada y de otros objetos de información que las Administraciones
Públicas pongan a disposición de otras entidades y de los ciudadanos; enlace entre los
directorios de aplicaciones reutilizables y consulta por parte de las entidades de las
soluciones disponibles para libre reutilización; así como publicación del código de las
aplicaciones.

ART. 16 – Condiciones de licenciamiento aplicables.


Poner a disposición de los ciudadanos y otras
entidades aquellas aplicaciones y objetos de  Centro de Transferencia de Tecnología (CTT).
información cuya titularidad recaiga en la entidad  Licencia EUPL.
con el fin de perseguir su reutilización y
aprovechamiento.

Licenciar las aplicaciones susceptibles de ser


reutilizadas por otras entidades a través de EUPL  Licencia EUPL.
u otra licencia que garantice los mismos derechos.

ART. 17 – Directorios de aplicaciones reutilizables.


Enlazar los directorios de aplicaciones para su  Centro de Transferencia de Tecnología (CTT)
libre reutilización con el Centro de Transferencia  Forja-CTT.
de Tecnología.

Aprovechar las soluciones disponibles en el CTT  Centro de Transferencia de Tecnología (CTT)


para la implementación de nuevos sistemas o  Forja-CTT.
actualización de los ya implantados  Forjas asociadas.
Publicar el código de las aplicaciones licenciadas  Centro de Transferencia de Tecnología (CTT)
para su libre reutilización.  Forja-CTT.

7. Reutilización de recursos de la información.


Párrafo l), disposición adicional primera, apartado 1, añadido por el Real Decreto 1495/2011
Disposiciones sobre reutilización de recursos de la  NTI de Reutilización de recursos de la
información. información.
 Corrección de errores de la NTI de
Reutilización de recursos de la información.

Javier Peña Alonso @japealonso Fundación Fiasep


 Guía de aplicación de la NTI de Reutilización
31 de recursos de información.
 datos.gob.es

8. Firma electrónica y certificados.


Requisitos como, la política de firma electrónica y de certificados de la
Administración General del Estado como herramienta que podrá ser utilizada como
referencia por otras entidades; aspectos relativos a la validación de certificados y firmas
electrónicas, las listas de confianza, las aplicaciones usuarias, los prestadores de
servicios de certificación y las plataformas de validación de certificados y firma
electrónicas,

ART. 18 – Interoperabilidad en la política de firma electrónica y de certificados.


Aprobar y publicar la Política de firma electrónica  NTI de Política de Firma Electrónica y de
y de certificados de la entidad: certificados de la Administración.
- Adoptando la política Marco Firma Electrónica y  Guía de aplicación de la NTI de Política de
de certificados de la AGE mediante el mecanismo Firma Electrónica y de certificados de la
interno correspondiente. Administración.
- En caso de que por particularidades de los  Política de Firma electrónica y de certificados
documentos y/o sus firmas no permitan adoptar de la AGE.
la Política Marco, elaborando una política  Guía Rápida de aplicación de la política de
particular conforme a la NTI de Política de Firma firma electrónica de la AGE v1.9.
Electrónica y de certificados de la Administración,
pudiendo tomar como referencia la Política
Marco.

Utilizar los certificados electrónicos definidos en  Ley 39/2015.


la Ley 39/2015 y conformes a la Ley 59/2003 de  Ley 59/2003.
firma electrónica y sus desarrollos normativos  DNIe.
 Lista de confianza de prestadores de servicios
de certificación - MINETUR.

ART. 19 – Aspectos de interoperabilidad relativos a los prestadores de servicios de certificación.


Utilizar certificados electrónicos reconocidos  Lista de confianza de prestadores de servicios
emitidos por prestadores de servicios de de certificación - MINETUR.
certificación confiables, es decir, incluidos en la en
Lista de servicios de confianza publicada en la
sede electrónica del Ministerio de Industria,
Energía y Turismo.

ART. 20 – Plataformas de validación de certificados electrónicos y de firma electrónica.


Utilizar plataformas de validación de certificados Servicios comunes de firma electrónica:
electrónicos y de firma electrónica que garanticen  Portal de firma
lo establecido en el artículo 20. Tal es el caso de la  Suite productos @firma
plataforma @firma.  Cl@ve
 STORK

Javier Peña Alonso @japealonso Fundación Fiasep


9. Recuperación y conservación del documento electrónico.
32
La recuperación y conservación del documento electrónico, siguiendo lo establecido
en la Ley 39/2015, trata de la manifestación de la interoperabilidad a lo largo tiempo, y
que afecta de forma singular al documento electrónico.

ART. 21 – Condiciones para la recuperación y conservación de documentos.


Definir y publicar la Política de gestión de  NTI de Política de gestión de documentos
documentos electrónicos de la entidad conforme electrónicos.
a la NTI de Política de gestión de documentos  Guía de aplicación de la NTI de Política de
electrónicos. gestión de documentos electrónicos.
 Modelo de política de gestión de documentos
electrónicos.
 Ejemplos de políticas de gestión de
documentos electrónicos.

ART. 21 – Condiciones para la recuperación y conservación de documentos.


Establecer un repositorio electrónico  NTI de Política de gestión de documentos
complementario y equivalente en su función a los electrónicos.
archivos convencionales que contemple la  Guía de aplicación de la NTI de Política de
aplicación de normas de conservación a los gestión de documentos electrónicos.
documentos depositados en él y su transferencia
a otros repositorios.
Definir los calendarios de conservación de los  NTI de Política de gestión de documentos
documentos y expedientes electrónicos electrónicos.
necesarios.  Guía de aplicación de la NTI de Política de
gestión de documentos electrónicos.
Eliminar los documentos y expedientes  NTI de Política de gestión de documentos
electrónicos según la política de gestión de electrónicos.
documentos electrónicos de la entidad, la  Guía de aplicación de la NTI de Política de
normativa aplicable en materia de eliminación de gestión de documentos electrónicos.
Patrimonio Documental y aplicando las medidas  R.D. 3/2010 ENS.
de seguridad relacionadas definidas en el R.D.  Guías de implantación ENS.
3/2010 ENS.  Recursos CCN-CERT ENS.
 R.D. 1164/2002.
Generar documentos electrónicos conformes a la  NTI de Documento electrónico.
NTI de Documento electrónico.  Guía de aplicación de la NTI de Documento
electrónico.
 Manual de usuario de esquemas XML para
intercambio de documentos electrónicos y
expedientes electrónicos.
 INSIDE.
Intercambiar documentos electrónicos conforme  NTI de Documento electrónico.
a la NTI de Documento electrónico y mediante la  Guía de aplicación de la NTI de Documento
estructura XML allí reflejada. electrónico.
 Manual de usuario de esquemas XML para
intercambio de documentos electrónicos y
expedientes electrónicos.
Generar expedientes electrónicos conformes a la  NTI de Expediente electrónico.
NTI de Expediente electrónico.  Guía de aplicación de la NTI de Expediente
electrónico.
 INSIDE.

Javier Peña Alonso @japealonso Fundación Fiasep


Intercambiar expedientes electrónicos conforme  NTI de Expediente electrónico.
33 a la NTI de Expediente electrónico y mediante la  Guía de aplicación de la NTI de Expediente
estructura XML allí reflejada. electrónico.
 Manual de usuario de esquemas XML para
intercambio de documentos electrónicos y
expedientes electrónicos.
Aprobar la normativa interna respecto a la  Ley 39/2015.
atribución de la competencia en cuanto a la  Para la AGE: R.D. 1671/2009.
generación de copias auténticas tanto para la
generación como la validación de las mismas.

ART. 21 – Condiciones para la recuperación y conservación de documentos.


Asegurar el valor probatorio y la fiabilidad de los  NTI de Documento electrónico.
documentos electrónicos como evidencias  Guía de aplicación de la NTI de Documento
electrónicas de las actividades a lo largo del electrónico.
tiempo. Por ejemplo a través de procesos de  NTI de Política de gestión de documentos
refirmado de documentos, uso de firma longeva, electrónicos.
etc.  Guía de aplicación de la NTI de Política de
gestión de documentos electrónicos.
 NTI de Política de Firma Electrónica y de
certificados de la Administración.
 Guía de aplicación de la NTI de Política de
Firma Electrónica y de certificados de la
Administración.
Establecer un esquema institucional de  NTI de Política de gestión de documentos
metadatos para la gestión interna del documento electrónicos.
electrónico y conforme a la Política de gestión  Guía de aplicación de la NTI de Política de
documental de la entidad. gestión de documentos electrónicos.
 Esquema de Metadatos para la Gestión del
Documento Electrónico (e-EMGDE).
 Ejemplo de aplicación del Esquema de
Metadatos para la Gestión del Documento
Electrónico (e-EMGDE).

ART. 22 – Seguridad.
Aplicar el Esquema Nacional de Seguridad para  R.D. 3/2010 ENS.
garantizar la conservación de los documentos  Guías de implantación ENS.
electrónicos.  Recursos CCN-CERT ENS.
Cumplir con la normativa de protección de datos  Ley Orgánica 15/1999.
de carácter personal.  R.D. 1720/2007.
Utilizar preferentemente firmas longevas que  NTI de Política de Firma Electrónica y de
preserven la conservación de las firmas a lo largo certificados de la Administración.
del tiempo según lo dispuesto en la Política de  Guía de aplicación de la NTI de Política de
firma de la entidad. Firma Electrónica y de certificados de la
Administración.
 Política de Firma electrónica y de certificados
de la AGE.

ART. 23 – Formatos de los documentos.

Javier Peña Alonso @japealonso Fundación Fiasep


Conservar los documentos elaborados, enviados o  No Aplica
34 recibidos en el formato original siempre que se
garantice su preservación a lo largo del tiempo.
Seleccionar formatos de documentos conformes  NTI de Catálogo de Estándares.
con el artículo 11 y con la NTI de Catálogo de  Guía de aplicación de la NTI de Catálogo de
estándares. Estándares.
Aplicar procedimientos de copiado auténtico y  NTI de Procedimientos de copiado auténtico
conversión cuando exista riesgo de obsolescencia y conversión entre documentos electrónicos.
tecnológica del formato original.  Guía de aplicación de la NTI de
Procedimientos de copiado auténtico y
conversión entre documentos electrónicos.
 NTI de Catálogo de Estándares.
 Guía de aplicación de la NTI de Catálogo de
Estándares.

ART. 24 – Digitalización de documentos en soporte papel.


Digitalizar los documentos en soporte papel de  NTI de Digitalización de documentos.
acuerdo a lo previsto en la NTI de Digitalización de  Guía de aplicación de NTI de Digitalización de
documentos. documentos.

10. Normas de conformidad.


ART. 27 – Mecanismos de control.
Establecer los mecanismos de control que  Cuestionario para el seguimiento de la
permitan verificar el cumplimiento del ENI en la adecuación al ENI.
entidad.

ART. 28 – Publicación de conformidad.


Publicación de la declaración de conformidad con
el ENI y los posibles distintivos de
interoperabilidad en la sede electrónica.

Javier Peña Alonso @japealonso Fundación Fiasep


35

Javier Peña Alonso @japealonso Fundación Fiasep

También podría gustarte